局域网成员无法正常上网的顽疾---DHCP服务器

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

4000 字详解TCP超时与重传,看完没收获算我输

一 DHCP简介

网络的普及与网络技术的成熟,现在的人越离不开网络,小我私家的手机,电脑,智能家居装备等都需要网络,我们的这些用网的装备无论是在在接见Internet网,照样局域网内部通讯都脱离不了IP地址的支持,IP地址就是这些硬件在网络上相互交互信息时用来区分相互的"名字",无论你是使用IPv6照样IPv4,都需要给你的网络装备分配一个对应的地址。

IP地址在计算机的天下里是一段有纪律的0和1(二进制数),IPv4地址32位的0和1,IPv6地址128位的0和1,我们人无论是去影象照样手写这些二进制的0和1都是异常难题的,可是没有IP地址你的电脑纵然毗邻了网线,也向运营商办理了宽带,上网的基础环境也准备好了,也就是无法接见网络的。而大叔非网络专业相关的职员不要说去影象或者设置这些IP地址了,可能对于IP地址的组合与识别都做不到。

既为了简化IP地址的使用,又为了把网络管理职员从IP地址设置的重复工作中解放出来,网络技术里加入了DHCP-- Dynamic Host Configuration Protocol动态主机设置协议。DHCP服务可以为网络中的接入终端(电脑,手机等通俗的用户装备)自动下发一个准确且不重复的IP地址;同时为了使得用户可以正常接见网络,DHCP服务还会为终端装备下发管理员指定准确的GW-网关地址(提供跨网段接见)和DNS(提供IP地址与域名的剖析)服务器地址。

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

如图DHCPserver为接入的终端PC-1到PC-3提供IP地址,掩码,网关,DNS等上网必须信息。

 

DHCP服务的准确使用可以为接入终端上网带来极大的便利,可是若是若是由于错误设置及部署导致网络中存在多个DHCP服务器就会带来严重问题。由于网络管理员指定的DHCP服务器里设置和网段和网关地址是当前网络装备(主要是网关路由器)所熟悉的,这样获得IP地址的终端装备是可以找到准确的网关,通过准确的网关装备接见公网。

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

从上面的拓扑与测试环境就可以看到获得192.168.1.0网段IP地址的PC-1是可以接见外网的,由于这个网段的IP地址我们的网关GW是可以识别的,网关路由器上并不存在172.168.1.0网段的路由,以是无法处置此网段成员的数据。而且网络中存在于网关装备不匹配的DHCP服务器,会影响网络的多个终端装备的正常接见。DHCP功效又是网络装备最基本的功效之一,以是许多家用的路由器想TP-Link,小米,华为家用路由器都可以看成一台DHCP服务器,而这些家用路由器设置简朴,许多人都即插即用,一样平常用在接口扩展或者无线扩展,但许多人并不清晰这些路由器默认运行这DHCP功效,有着缺省的DHCP参数,再不关闭DHCP功效就接入到网络中,就会为正常的网络运作埋藏隐患或者造成无法上网的故障。

 

二 DHCP Snooping简介

终端装备向DHCP服务器请求地址时发送的是DHCP的广播新闻,这样在网络中的(一个广播域且不涉及DHCP中继的情形)所有装备都市收到此请求信息,若是网络中存在多个多个DHCP服务器或者具有DHCP功效的装备都市对这个请求新闻做出响应,我们的终端装备是无法分辨哪个是正当的DHCP服务器,哪个是非法的,也无法分辨哪个DHCP服务器的回应的网段是可用的,下发的网关地址是平安的,若是把终端装备请求地址比做人组屋子,那我们房客一样平常是无法分辨出哪些中介(DHCP服务器)是正当的哪些是黑心的?

若是终端装备收到多个DHCP服务器的的回应,终端装备会根据"先到先得"的原则来使用第一个到达终端装备的DHCP数据包中的IP地址。在现在稍微有点规模的网络中网络计划中会设定单独的DHCP服务器,而且距离用户的接入层相较来说有点远,而用户私自接入的DHCP服务器的数据包往往在接入层,直接面向终端,这样只要接入端有一台私自接入DHCP服务器,就会影响到终端的接入端成员,造成成片区域的用户由于获得错误的IP地址及网关地址而无法正常接见网络。

为了防止私自接入或者恶意接入DHCP服务器造成网络中的终端装备获得错误的IP地址和网关地址而导致的网络无法正常接见,也为了防止网络攻击者恶意部署DHCP服务器将向内网用户下发攻击者指定的网关地址,导致内网用户接见外网的数据指导至非法网关导致用户数据的泄露。

 

1 DHCP Snooping原理

DHCP Snooping是DHCP平安特征,通常部署在接入端的交流机上,开启DHCP Snooping功效的交流机会将所有的接口针对DHCP报文设定为不信托状态---即不转发或者上传任何DHCP的请求和回应报文,对于毗邻正当DHCP服务器的接口设置为信托接口,可以正常发送DHCP报文。

使用DHCP Snooping功效后我们就可以有用的防止由于用户私自接入具有DHCP功效装备下发错误的IP及网关地址导致网络内的用户无法正常上网的问题,同时也可以防止针对DHCP提议的各种攻击,如DHCP饿死攻击---攻击者发送大量的DHCP请求报文,将DHCP服务器的IP地址池里的地址占用殆尽,造成正当用户无地址可用;DHCP的续租报文攻击—攻击者冒充正当用户不停续租DHCP下发的IP地址,纵然使用此IP地址的正当用户依据下线,DHCP服务器也无法正常接纳地址。

接下来我们通过实验来验证DHCP Snooping开启前与开启后的区别

 

2 DHCP Snooping部署

1---没有开启DHCP Snooping时 交流机对于DHCP数据包的处置

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

IP地址基础入门知识

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

我们在没有开启图中接入交流机SW-2的DHCP Snooping的情形下,开机电脑PC-3,让他通过DHCP自动获得IP地址,这时我们会发现PC-3获取了非法DHCP服务器提供的 172.168.1.0/24网段的IP地址,由于这个非法服务器(172.168.1.0)距离电脑比正当DHCP服务器(192.168.1.0)要"更近"(物理距离上),以是纵然PC-3的DHCP请求包这两台DHCP服务器都收到而且都做了回应,PC-3依然只接收了来自非法DHCP服务器的提供的IP地址。

 

2---接下来我们在SW-2上开启DHCP Snooping功效继续在SW-2的G0/0/5接口设置IP地址。

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

[SW-2]dhcp enable ---------交流秘密运行DHCP Snooping功效,先必须开启这台交流机的DHCP功效

[SW-2]

[SW-2]dhcp snooping enable -----运行DHCP Snooping功效

[SW-2]

[SW-2]vlan 1---------------------------------------进入毗邻vlan 1

[SW-2-vlan1]

[SW-2-vlan1]dhcp snooping enable--------------------在vlan 历程下开启DHCP Snooping功效,这样这个vlan 1的所有接口的DHCP Snooping特征就开启了,默认处于不信托状态,不转发DHCP的请求与回应报文

[SW-2-vlan1]qui

[SW-2-vlan1]quit

[SW-2]

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

开启DHCP Snooping后交流机对DHCP报文举行抛弃,不做转发,以是PC-7的DHCP请求包实在没有送到整个环境中的任何一台DHCP服务器,就算送到了,受DHCP Snooping的作用,交流机也不会对不信托接口的DHCP应答报文举行转发。

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

我们继续部署,设置SW-2的 G0/0/1接口为信托接口,这个接口可以转发DHCP服务器的报文;这里我们只需要在毗邻DHCP服务器的接口或者DHCP服务器偏向的接口设置信托即可(当DHCP服务器没有在在开启DHCP Snooping功效的交流机上直连时)

 

局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"

 

 

对毗邻DHCP服务器(偏向)的接口设置为DHCP Snooping信托接口后 我们在PC-7上扑捉到了来自次SW-2的G0/0/1接口的DHCP 服务器的回应包---属于192.168.1.0网段的IP地址

 

这样我们通过DHCP Snoopin功效就解决了由于私接DHCP 服务器导致网络内用户无法正常上网的需求

DNS何时使用TCP协议,何时使用UDP协议?

分享到 :
相关推荐

发表评论

登录... 后才能评论